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Bescheinigung 

Die ROBERT BOSCH GMBH in Stuttgart/Deutschland hat eine Patentanmeldung unterder 
Bezeichnung 

"Verfahren und Vorrichtung zur Absicherung bei Verande- 
rung des Speicherinhalts von Steuergeraten" 

am 17. MSrz 1999 beim Deutschen Patent- und Markenamt eingereicht. 

Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ursprung- 
iichen Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig die Symbole 
G 11 C und B 60 R der Internationalen Patentklassifikation erhalten. 



Munchen, den 13. Marz 2000 
Deutsches^atent: und Markenamt 
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24.02.99 Sy/Shi 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Verfahren und Vorrichtung zur Absicherung bei Veranderung 
des Speicherinhalts von Steuergeraten 

Stand der Technik 

Die vorliegende Erfindung betrifft Verfahren und zugehorige 
Vorrichtung zum Programmieren von Daten in einen Speicher 
eines Rechners gemaS den Oberbegrif f en der Anspriiche . Dabei 
werden. Daten und/oder Programme in einem Speicher eines 
Rechners, insbesondere eines Steuergerats in einem Fahrzeug, 
verandert . Bei der Programmierung wird eine Kennung, die das 
korrekte Loschen und/oder Programmieren des Speichers 
kenntlich macht, in den Speicher eingeschrieben . 

In der DE 196 19 3 54 Al wird ein Verfahren zum Betreiben 
eines eine Steuerfunktion aufweisenden Steuergerates mit 
einer programmierbaren Speichereinrichtung zum Speichern 
von, fur die Ausubung der Steuerfunktion erf orderlichen 
Steuerfunktionsprogrammen und Steuerf unktionsdaten, 
beschrieben. Das beschriebene Verfahren zeichnet sich 
dadurch aus, da£ einhergehend mit dem Einschreiben der 
Steuerfunktionsprogramme und Steuerfunktionsdaten in die 
Speichereinrichtung an vorbestimmte Stellen innerhalb der 
Speichereinrichtung bestimmte, nicht zu den 

Steuerfunktionsprogrammen und Steuerfunktionsdaten gehorende 
Selbststeuerdaten eingeschrieben werden. In Abhangigkeit 
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davon, ob an den vorbestimmten Stellen die bestimmten 
Selbststeuerdaten gespeichert sind wird dann das Steuergerat 
betrieben. Da die Selbststeuerdaten in der genannten 
Of f enlegungsschrif t nicht Bestandteil der eigentlich 
abzuspeichernden Steuerf unktionsprogr amine und 
Steuerf unktionsdaten, also der Nutzdaten, sondern als 
gesondertes Bitmuster vorgesehen sind, benotigen diese 
zusatzlichen Speicherplatz . Eine Uberpriif ung der 
Selbststeuerdaten verhindert dabei den Versuch einer 
Ausfiihrung von nicht ordnungsgemaS zuganglichen oder nicht 
in der Speichereinrichtung abgespeicherten Nutzdaten. Die 
Ursache bzw. der Zeitpunkt des Auftretens der nicht 
zuganglichen bzw. nicht abgespeicherten Nutzdaten wird dabei 
nicht registriert. Das vorgeschlagene Verfahren wird daruber 
hinaus nur bei Speichereinrichtungen oder Teilen davon 
eingesetzt, die vor der Programmierung vollstandig geloscht 
werden mussen. Ein einf aches Uberprogrammieren, also 
Uberschreiben der Daten ist nicht vorgesehen. Ziel ist dabei 
trotz einer in Teilen fehlerhaften Programmierung eine Art 
Notsteuerprogramm durchzuf uhren, wobei dazu nur die 
f unktionsf ahigen Daten verwendet werden. 

Daneben zeigt die DE 196 23 145 Al ein Verfahren zum 
Betreiben eines Steuergerats mit einer iiber eine 
Programmiervorrichtung programmierbaren Speichereinrichtung, 
bei der das Loschen und das Uberschreiben des Inhalts der 
Speichereinrichtung jeweils unter Ausfuhrung eines 
Programmabschnitts zur Datenverarbeitung und unter 
Verwendung von Daten durchgefuhrt wird. Das beschriebene 
Verfahren zeichnet sich dadurch aus, dafi wenigstens entweder 
der Programmabschnitt zur Datenverarbeitung oder die Daten 
derart bereitgestellt werden, da£ sie vor deren 
Verwendbarkeit zur Herbeif uhrung eines Loschens oder eines 
Uberschreibens einer Modifikation bedurfen. Diese 
Modifikation wird erst dann durchgefuhrt, wenn festgestellt 
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wird, daS ein Einsprung in dem Programmabschnitt zur 
Da t enver arbe i tung bestimmungsgemafi erfolgt ist oder erfolgen 
wird bzw. erfolgen kann. Da dabei eine Modif ikation der 
einzuschreibenden Daten erfolgt und nicht der bereits 
eingeschriebenen Daten, kann eine Fehlfunktion oder ein 
Funktionsausf all infolge einer Unterbrechung oder Stdrung 
bei der Programmierung nicht vermieden werden. Dies umso 
mehr, als dafi auch hierbei die Unterbrechung oder Storung 
nicht im Speicher vermerkt wird. Die Modif ikation wird in 
der genannten Of f enlegungsschrif t derart eingesetzt, da£ ein 
nicht bestimraungsgemafies Loschen und/oder Uberschreiben von 
in einer programmierbaren Speichereinrichtung gespeicherten 
Daten auf einfache Weise zuverlassig ausschliefebar ist. Dies 
ermoglicht aber nicht die Absicherung der Programmierung, 
wenn diese bereits angestoSen ist, also die Modif ikation 
bereits durchgefiihrt wurde . Eine dann auftretende Storung 
oder Unterbrechung hat dann Datenverlust, eine 
unvollstandige Programmierung und somit ein nicht bzw. 
fehlerhaft Funktionieren des Steuerungsgerates zur Folge. 

Unter anderem aus den genannten Griinden hat sich gezeigt, 
daS die genannten Verfahren nicht in jeder Beziehung 
optimale Ergebnisse zu liefern vermogen. 

Vorteile der Erfindung 

Die Verfahren und zugehorige Vorrichtung dienen zur 
Absicherung der Funktionalitat beispielsweise eines 
Steuergerates , wenn wahrend des Loschens und/oder 
Programmierens eine Unterbrechung oder Storung aufgetreten 
ist. Dazu wird einerseits, wenn sich wahrend des Loschens 
oder Programmierens eine Unterbrechung oder ein Reset 
ereignet oder das Gerat anderweitig spannungslos wird, dies 
in einer Speichereinrichtung, insbesondere in der zu 
programmierenden Speichereinrichtung selbst vermerkt . 
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Daneben wird bei der Programmierung eine Kennung, die das 
korrekte Loschen und/oder Programmieren des Speichers 
kenntlich macht, in einen spat zu loschenden und/oder zu 
programmierenden Bereich, insbesondere einen als letztes zu 
loschenden und/oder zu programmierenden Bereich des 
Speichers eingeschrieben, und diese Kennung wird vor dem 
Loschen oder Programmieren der Daten bzw. Programme derart 
verandert, daS das Programm bei nicht vollstandiger 
Programmierung nicht ausgefiihrt wird bzw. die Daten bei 
nicht vollstandigem Einschreiben nicht verwendet werden. 
Somit kann ein Fehler, der beim Programmieren bzw. Loschen 
selbst auftritt, also nach einer moglichen Datenmodif ikation 
abgefangen werden. 

Vorteilhaf terweise wird die erwartete Kennung, die die 
Vollstandigkeit bzw. Richtigkeit der Programmierung 
kennzeichnet , als Bestandteil des Programmes, insbesondere 
des Programmidentif iers selbst verwendet und verbraucht 
demzufolge keinen zusatzlichen Speicherplatz . 

Vorteilhaf terweise kann ein explizites Loschen von Daten 
und/oder Programmen vor dem zum Programmiervorgang 
gehorenden Loschen und/oder Programmieren entfallen, weil 
ein einf aches Unkenntlichmachen der Kennung genugt urn ein 
Abarbeiten des Speicherinhaltes zu verhindern, und dieser 
demnach nicht geloscht werden mug . Dadurch konnen auch 
Speicher Verwendung finden die ohne vorhergehendes 
vollstandiges Loschen sondern durch einfaches und schnelles 
Uberprogrammieren beschrieben werden konnen. 

Weiterhin von Vorteil ist, daS Zeitpunkt und Ursache der 
Storung dabei in einem Speicher beispielsweise durch einen 
Vermerk abgelegt werden konnen, da in einem besonderen 
Ausfuhrungsf all eine Anwendung, insbesondere eine Steuerung, 
nicht mit einem Notsteuerprogramm durchgefuhrt wird, sondern 
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nur ein wie vorgesehen korrekt beschriebener Speicher bzw. 
dessen Daten und/oder Programme zur Steuerung ausgelesen 
bzw. verwendet werden. Dazu kann einerseits die Kennung 
iiberpriift und andererseits der Vermerk ausgewertet werden. 

Weitere Vorteile ergeben sich aus den Anspruchen. 

Zeichnung 

Anhand der folgenden Figuren der Zeichnung wird der 
Gegenstand der Erfindung naher erlautert . Dazu zeigt Figur 1 
ein Steuergerat mit interner Struktur und optionalem 
externem Programmiergerat . Figur 2 zeigt eine mogliche 
Aufteilung eines verwendbaren nicht fluchtigen Speichers in 
Speicherbereiche . Figur 3 zeigt schematisch eine Auswahl 
einer Kennung aus einem Daten- bzw. Programmabschnitt , 
insbesondere aus einer Programmkennung . In Figur 4 ist ein 
Ablauf diagramm eines erf indungsgemaSen Verfahrens 
dargestellt . 

Beschreibung der Ausf uhrungsbeispiele 

In Figur 1 ist beispielhaft eine Hardwareanordnung zur 
Umsetzung der vorgestellten Verfahren dargestellt. Darin ist 
mit 100 ein Computer system, insbesondere ein Steuergerat, 
dargestellt. Der innere Aufbau des Steuergerates 100 kann 
stark variieren. Zur Darstellung der erf indungswesent lichen 
Idee ist beispielhaft eine Struktur mit einem Mikroprozessor 
106 gewahlt . Dieser Mikroprozessor oder Recheneinheit 106 
ist iiber ein Leitungssystem 109, insbesondere ein Bussystem, 
mit weiteren Elementen verbunden. Die Recheneinheit bzw. der 
Mikroprozessor 106 kann dabei mit eigenem Speicher, 
Coprozessor, usw. bestiickt sein. Je nach Bauteil- bzw. 
Funktionsumf ang, also abhangig vom eingesetzten Bauelement 
bzw. der Anwendung sind die Bezeichnungen Mikroprozessorchip 
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(Central Processing Unit) , Mikroprozessor , Mikrocontroller , 
Mikrocomputer , Steuereinheit (Electronic Control Unit) , 
Recheneinheit , etc. fiir Element 106 beliebig einsetz- und 
austauschbar. Mit 104, 105 und 108 konnen verschiedene 
Speichereinrichtungen im Steuergerat enthalten sein. Dabei 
stellt 105 einen fluchtigen Speicher z.B. in Form eines RAM, 
der unter anderem zur Zwischenspeicherung von Daten und/oder 
Programmen dient, dar. Von dem RAM 105 aus konnen ebenfalls 
Programmr out inen gestartet werden. Mit 104 ist ein 
loschbarer, nicht fliichtiger Speicher, beispielsweise ein 
Flash-EPROM-Speicher dargestellt . Dabei kann eine Vielzahl 
von Flash-EPROMs , die sich beziiglich des Loschens und/oder 
Programmierens stark unter scheiden, eingesetzt werden. Eine 
erste Art eines Flash-EPROMs 104 mufi beispielsweise vor 
einer neuen Programmierung ganz geloscht werden. Eine zweite 
Art des Flash-EPROMs 104 kann beispielsweise blockweise 
geloscht und/oder programmiert werden. Eine dritte Art des 
Flash-EPROMs 104 kann beispielsweise seitenweise 
programmiert werden, wobei ein explizites Loschen nicht 
erforderlich ist. Neben dem nicht fliichtigen Speicher 104 
kann noch ein weiterer nicht fliichtiger Speicher 108 
vorgesehen sein. Dabei besteht die Moglichkeit der 
Verwendung eines nicht loschbaren Festwertspeichers , 
beispielsweise durch Verwendung eines ROM und andererseits 
kann dabei auch ein loschbarer nicht fliichtiger Speicher in 
Form eines EPROMs , insbesondere eines weiteren Flash-EPROMs 
verwendet werden. An dieser Stelle sei noch einmal darauf 
hingewiesen, daS die Anordnung und Verwendung der 
Speicherbausteine beliebig ist und die Anzahl ebenso 
reduziert wie erweitert werden kann. Lediglich ein 
programmierbarer bzw. loschbarer, nicht fliichtiger bzw. 
refreshbarer Speicher, hier in Form des Elements 104 
gezeigt, ist zur Darstellung der Erfindung notig. Mit Block 
107 sind mogliche Peripheriebaugruppen, also 
Schnittstellenelemente zum AnschluS externer Peripherie, 
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dargestellt. Optional konnen an das Bussystem 109 weitere 
Elemente und Baugruppen, beispielhaft dargestellt durch 
Element 110, beispielsweise in Form von weiteren 
Peripheriebaugruppen, Speicherelementen, Mikroprozessoren 
oder Mikrocontrollern, etc. angebunden werden. Die 
Programmierung ihrerseits kann einerseits iiber den Einschub 
eines Datentragers im Steuergerat 100 selbst oder auch durch 
Verwendung der Daten aus internen Speichern wie 
beispielsweise des nicht loschbaren nicht fliichtigen 
Speichers 108 durchgef iihrt werden. Neben dieser internen Art 
der Programmierung kann aber auch entweder seriell iiber 
Schnittstelle 102 oder parallel uber ein mogliches Bussystem 
103 ein externes Programmiergerat 101, beispielsweise ein 
zweites Steuergerat bzw. Rechner, zur Programmierung und 
Einschreibung von Daten vorgesehen sein. Bei einer internen 
Programmierung kann einmal aus einem bereits beschriebenen 
Datenspeicher wie dem als ROM verwendbaren Speicher 108 ein 
Satz von Anwenderprogrammen und/oder Daten in den fliichtigen 
Speicher 105 und/oder in den loschbaren, nicht fliichtigen 
Speicher 104 geladen und gegebenenf alls dort ausgef iihrt 
werden. Ebenso konnen die Programme und/oder Daten iiber, an 
eine mogliche Peripheriebaugruppe 107 anschlieSbaren 
Peripherieelemente, z.B. Lesegerate fur Datentrager, wie 
beispielsweise Diskettenlauf werk oder CD-ROM mit Hilfe von 
Datentragern eingespeist werden. Die selben Moglichkeiten 
bieten sich selbstverstandlich auch fur das externe 
Programmiergerat 101. 

Figur 2 zeigt noch einmal detailliert den loschbaren bzw. 
programmierbaren nicht fliichtigen Speicher 104. Beispielhaft 
ist dieser in verschiedene Bereiche 200-205 eingeteilt. 206 
stellt daneben lediglich eine Zelle bzw. einen 
Speicherabschnitt in Speicherbereich 2 05 dar. Die gezeigte 
Darstellung der Speicherbelegung dient lediglich der 
Erlauterung, da eine Vielzahl unterschiedlicher Belegungen 
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des Speichers denkbar ist. Eine mogliche Belegung der 
Bereiche wird im Weiteren dargestellt. Dabei enthalten 
beispielsweise die Bereiche 200-203 Vektortabellen und - 
daten, der Bereich 204 eine Programmier routine und der 
Bereich 2 05 wenigstens ein Anwendungsprogr amm . Bei einer 
internen Programmierung liegen so z.B. in Speicherbereich 
200 Bootvektoren mit Einspriingen in andere Speicherbereiche 
dieses oder anderer Speicher. Im Bereich 201 sind 
beispielsweise bestimmte Umschaltf unktionen eingebettet, 
durch welche eine Ein- und Ausgangskoordination des 
Speichers beispielsweise mit dem Mikroprozessor 106 erfolgt. 
Im Bereich 202 liegt beispielsweise eine Startroutine , durch 
welche beispielsweise der weitere Verlauf je nachdem, ob 
eine Anwendung oder Programmierung stattfindet, festgelegt 
wird. Der Bereich'* 2-3 ist dabei optional und kann weitere 
Daten und/oder Routinen enthalten. Im Speicherbereich 204 
ist beispielsweise eine Programmier routine abgelegt, welche 
durch das Startprogramm im Bereich 2 02 beispielsweise in das 
ROM 105 geladen wird und dort seinerseits den weiteren 
Pr ogr ammi e rvorgang steuert . Die Aufteilung in 

Speicherbereiche wie, sie in Figur 2 vorgeschlagen wird, ist 
optional, da z.B. bei Verwendung eines externen 
Pr ogr ammi e r ge r a t e s 101 einige der Bereiche 200-205 entf alien 
konnen. Eine Programmierung des nicht fliichtigen Speichers 
104 erfolgt dabei in der Regel vom untersten zum obersten 
Speicherbereich, wodurch der Bereich 206 zuletzt 
programmiert wird. 

Figur 3 zeigt einen Daten- und/oder Programmabschnitt , 
insbesondere einer Programmkennung 300 im Speicher 104. Die 
Programmkennung 3 00 befindet sich beispielsweise im 
Speicherbereich 206 des Programmspeicherbereichs 205, da 
dieser in der Abfolge des Programmiervorgangs spat, 
vorzugsweise zuletzt programmiert wird. Diese 
Programmkennung 3 00 kann in verschiedene Subabschnitte 3 01- 



304 unterteilt werden. Ein solcher Subabschnitt 301 -304 
kann z.B. eine vorgebbare Anzahl Bitstellen oder eine 
Kolonne vorgebbarer Lange aus Buchstaben und Zahlen oder 
beliebigen Zeichen umfassen. Vor bzw. beim 

Programmiervorgang wird wenigstens ein Subabschnitt, z.B. 
Subabschnitt 301 als Kennung K ausgewahlt und zur spateren 
Uberpriifung abgespeichert . Bei z.B. bereits bekannten Daten 
und/oder Programmen bzw. bei sich wiederholenden 
Programmiervorgangen kann aber auch eine bestimmte Kennung 
in Form eines Subabschnitts fest vorgegeben werden. Daneben 
kann die Kennung K aber auch aus verschiedenen Daten- 
und/oder Programmabschnitten bzw. darin enthaltener 
Subabschnitte zusammengesetzt sein. Diese Subabschnitte, die 
dann zur Kennung K zusammengef aSt werden konnen an ganz 
unterschiedlichen Positionen in den Daten und/oder 
Programmen ausgewahlt werden. 

In einem bevorzugten Ausf uhrungsbeispiel wird ein leicht 
wiederzuf indender Daten- und/oder Programmabschnitt , wie 
z.B. die Programmkennung 300 als Grundlage fur die Kennung K 
ausgewahlt, wodurch der oder die als Kennung f ungierenden 
Subabschnitte ebenfalls leicht wieder aufgefunden werden 
konnen. Deren genaue Position sollte nach einer Veranderung 
eben bekannt sein um eine Uberpriifung der Kennung K 
durchfuhren zu konnen. 

Der Subabschnitt 3 01 der beispielhaft als Kennung K 
ausgewahlt wurde kann z.B. 6 beliebige Zeichen umfassen. 
Diese Kennung K , z.B. G47F03, also der Subabschnitt 301 der 
Programmkennung 30 0, kann danach ausgewahlt werden, daS er 
besonders unverwechselbar , sprich eindeutig ist. Dann muS 
die genaue Position des Subabschnitts in den Daten und/oder 
Programmen nicht genau bekannt sein. Wenn hingegen die 
Position der Kennung K, eben als erster Subabschnitt 301 der 
Programmkennung 300 und die Anzahl der Zeichen bzw. Bits, 
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weil vorgebbar, genau bekannt ist kann auch eine Kennung K 
verwendet werden, die haufiger in den zu programmierenden 
bzw. programmierten Daten und/oder Programmen vorkommt . Der 
iifbergang dieser Auswahlbedingungen ist dabei flie£end. Von 
besonderem Vorteil kann es sein den zuletzt zu 
programmierenden Subabschnitt als Kennung K vorzugeben. 

Figur 4 zeigt nun in einem Ablauf diagramm, wie 
beispielsweise aus einem aktuellen Programm zum Betrieb des 
Steuergerats , insbesondere aus einem Fahrprogramm bei einem 
Steuergerat zur Steuerung von Betriebsablauf en eines 
Fahrzeugs, eine Programmierung mit Absicherung eines 
Speichers, wie beispielsweise der nicht fluchtige Speicher 
104, durchgefiihrt wird. Dies bedeutet, da£ bei 
eingeschaltetem Steuergerat beispielsweise per 
Sof twareprotokoll die Programmiersitzung gestartet wird, 
automatisch das Betriebssystem gewechselt und anschliefiend 
programmiert wird. 

Die Absicherung erfolgt dadurch, da& vor dem Loschen bzw. 
Programmieren des gesamten Speichers oder eines Blocks oder 
einer Seite je nach Art des eingesetzten Flash-EPROMs am 
Ende des letzten bestehenden Blocks oder der letzten Seite 
oder der letzten Zelle des gesamten Speichers eine vorher 
eingeschriebene Kennung, die das korrekte Loschen und/oder 
Programmieren des Speichers kenntlich macht , durch 
Veranderung, beispielsweise durch Loschen oder 
Uberprogrammieren, ungiiltig, insbesondere unkenntlich, 
beispielsweise fur eine Vergleichs- oder Suchabfrage, 
gemacht wird. Eine solche Kennung K kann beispielsweise ein 
mehrstelliger Code aus Buchstaben und Zahlen sein, der z.B. 
geloscht oder mit Nullen iiberschrieben wird. 
Vorteilhaf terweise wird dazu ein ohnehin vorhandener Teil 
der Daten und/oder Programme beispielsweise der 
Programmkennung, des sogenannten Programmidentif iers 
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verwendet. Dadurch muS diese Kennung K nicht extra 
programmiert werden. Erst wenn der gesamte 

Programmiervorgang bzw. der Losch- und Programmiervorgang 
beendet ist und die Kennung K wieder eingeschrieben wurde, 
ist das Programm wieder giiltig. Ereignet sich wahrend des 
Loschens und/oder Programmierens irgendeine Unterbrechung, 
ein Reset, oder wird das Gerat anderweitig spannungslos, ist 
die veranderte Kennung K noch nicht wieder eingeschrieben 
und somit das Programm nicht giiltig und kann somit nicht 
ausgefuhrt werden. Dadurch wird aber daruber hinaus diese 
Unterbrechung im verwendeten Flash- EPROM selbst vermerkt, 
weil die Kennung K ungiiltig ist und dies fuhrt dazu, da£ bei 
einem Neustart erst abgefragt werden kann, ob das bestehende 
Programm lauffahig ist. Sollte die Kennung K ungultig und 
somit das Programm nicht lauffahig sein, kann automatisch 
das Betriebssystem zum Programmieren, insbesondere der 
Bootblock, in einem nicht fluchtigen, nicht loschbaren 
Speicher wie beispielsweise Speicher 108 in Form eines ROMs 
oder in einem nicht loschbaren Teil des Flash-EPROM- 
Speichers 104 selbst, aufgerufen und auf erneutes 
Programmieren gewartet werden. Somit ist ein nicht oder 
unvollstandig bzw. falsch programmiertes Flash- EPROM 104 
kein Hinderungsgrund, der ein erneutes Programmieren 
verhindert . 

In Block 4 00 in Figur 4 erfolgt der Start des Vorgangs . In 
Block 401 erfolgt zunachst die Festlegung des 
abzuarbeitenden Programmes. Diese Auswahl kann aus einer 
Vielzahl verschiedener Programme und Pr ogr ammi er rout inen 
getroffen werden. In Bezug auf ein Steuergerat eines 
Fahrzeugs konnen dies beispielsweise unterschiedliche 
Fahrprogramme, wenigstens ein Bootprogramm, usw. sein. Die 
Festlegung kann dabei durch Vorgabe einer Programmkennung 
3 00, des sogenannten Programmidentif iers , oder auch durch 
Wahl eines Flags mit einer oder mehreren Bitstellen 
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vorgenommen werden. Diese Vorgabe wird daim in den Abfragen 
402,403 bzw. 404 iiberpruf t . Mit Abfrage 404 ist dabei 
symbolisch der Ubergang auf optional weitere Programme 
dargestellt. Durch Hinzunahme weiterer Abfragen wie 404 und 
dadurch mogliche weitere Verzweigungen konnen somit eine 
Vielzahl von Programmen, insbesondere Fahrprogramme, sowie 
Bootprogramme oder Progr ammi err out inen dargestellt werden. 
Ebenfalls in Block 401 kann dann in einem bevorzugten 
Ausf uhrungsf all die Kennung K, bzw. der oder die 
betreffenden Subabschnitte festgelegt werden. Damit kann die 
Kennung K einerseits fur alle Programmi ervorgange 
festgelegt, z.B. bei sich wiederholenden 
Programmi ervorgangen, oder andererseits pro 
Programrai ervorgang vorgebbar und somit insgesamt variabel 
sein. In Block 402 wird nun abgef ragt , ob durch die 
Programmkennung bzw. die Flagwahl das Fahrprogramm 1 gewahlt 
wurde. Ist dies der Fall, so gelangt man zu Block 405. In 
Block 405 wird daraufhin ein Reset ausgeldst, die notwendige 
Initialisierung fur das Fahrprogramm 1 vorgenommen und der 
Kommunikationsaufbau durchgef uhrt . Wird in Abfrage 402 
f estgestellt , da£ Fahrprogramm 1 nicht gewahlt wurde, so 
erfolgt beispielsweise in Abfrage 403 die Uberpriifung, ob 
ein Programmi erwuns ch besteht. Dazu wird in der 
Verzweigungss telle 4 03 abgef ragt, ob der Bootblock bzw. das 
Bootprogramm, als mogliches Anzeichen fur eine nachfolgende 
Programmi e rung, ausgewahlt wurde. Ist dies nicht der Fall, 
kann in weiteren Abfragen, fur die stellvertretend die 
Abfrage 404 optional dargestellt ist, uberpriift werden, 
welches weitere mogliche Programm ausgewahlt wurde. Wurde 
keines der zur Verfugung stehenden Programme ausgewahlt, 
gelangt man in Block 414 zum Ende des Vorgangs . Andernfalls 
konnen ausgehend von der Reprasentativ fur weitere 
Verzweigungen dargestellten Abfrage 404 weitere Programme 
angesprungen werden. Ist aber in Abfrage 4 03 ein 
Bootprogramm, beispielsweise ein Bootprogramm 1, ausgewahlt, 
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so gelangt man zu Block 410. Hier erfolgt ebenfalls ein 
Zuriicksetzen auf Anfang (Reset) und eine Bootprogramm 1 
abhangige Initialisierung sowie ein Aufbau der 
Kommunikation. In Block 411 wird daraufhin die Sitzung des 
Programmiermodus des Programmiergerates gestartet. Im Block 
412 wird daraufhin die Kennung K als Teil des Programmes, 
insbesondere vorteilhaf terweise als Teil der Programmkennung 
3 00, also des Programmidentif iers verandert , insbesondere 
unkenntlich gemacht . Dabei kann vor der Veranderung der 
Kennung K, diese sowie ein moglicher Vermerk zu einer 
Unterbrechung des Programmiervorgangs ausgewertet werden. 
Ebenso kann die Kennung K erst hier unmittelbar vor der 
Veranderung der Kennung K durch das Steuergerat 100 bzw. ein 
Programmiergerat 101 ausgewahlt bzw. vorgegeben werden. Zum 
schnellen Loschen bzw. Programmieren kann dabei in Block 412 
eine Baudratenumschaltung durchgefiihrt werden. Dabei wird 
von einer geringeren normalen Kommunikationsbitrate auf eine 
hohere Losch- und/oder Programmierbitrate umgestellt. In 
Block 413 erfolgt dann der eigentliche Losch- bzw. 
Programmiervorgang, wobei je nach verwendetem Speicher 
hierbei wie schon genannt beispielsweise seitenweise, 
blockweise, speicherglobal oder auch zellenweise geloscht 
und/oder programmiert werden kann. Am Ende des 
Programmiervorgangs in Block 413 und/oder nach dem Auftreten 
einer Unterbrechung, beispielsweise durch eine Storung, 
einen Reset und/oder einen Stromloszustand des Steuergerates 
100 bzw. des Mikroprozessors 106, des Programmiervorganges 
wird in Block 415 die Korrektheit der Kennung K iiberpruft. 
Wird die Kennung K nicht als korrekt erkannt, erfolgt ein 
erneuter Einstieg in das unterbrochene Bootprogramm. Dabei 
kann in einem Block 416 vorgesehen sein, da£ ein Vermerk 
iiber z.B. Ursache und Zeitpunkt der Unterbrechung in einen 
Speicher, insbesondere den zu programmierenden Speicher, 
eingeschrieben wird. Wird die Kennung K hingegen als korrekt 
identif iziert , gelangt man zu Block 414, dem Ende des 
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Vorgangs . Dies bedeutet , daS auch nach einer vollstandigen 
Programrnierung ohne Unterbrechung die Kennung K und/oder ein 
eventuell vorhandener Vermerk iiberpruft werden kann. Da die 
Kennung K in einen Bereich eingeschrieben wird, der 
moglichst spat, vorteilhaf terweise zuletzt programmiert 
wird, wie der Speicherbereich 206 des Programmbereich.es 205 
in Figur 2, steht erst bei vollstandig und korrekt 
abgeschlossenem Programmiervorgang erneut eine korrekte 
Kennung K zur Verf iigung . 

Aus Sicherheitsgriinden kann vorgesehen sein prinzipiell auch 
zu Beginn eines Anwendungsprogrammes , insbesondere eines 
Fahrprogrammes eines Fahrzeugs, und eventuell auch zu Beginn 
eines Programmier- bzw. Bootprogrammes also in den Abfragen 
402, 403, 404 ... die Kennung K und eventuell den Vermerk 
zur Unterbrechung zu uberprufen und auszuwerten. 
Vorteilhaf terweise wird dann in ein Anwendungsprogramm nur 
eingestiegen wenn einerseits das richtige Programm angewahlt 
ist und daneben ebenfalls die Kennung K und/oder der Vermerk 
einer Unterbrechung iiberpruft und als korrekt erkannt wurde. 
Wenn in ein Bootprogramm, z.B. eine Programmier routine 
eingesprungen werden soil, also ohnehin eine Programrnierung 
stattfindet, wird zumindest angezeigt, wenn die Kennung K 
nicht korrekt ist bzw. ein Vermerk vorliegt. Wenn die 
Speicherprogrammierung zellen-, seiten- oder blockweise 
abgesichert und durchgefiihrt werden soil, kann daruber 
hinaus iiberpruft werden ob bei alien nicht zu 
programmierenden Teilen der Daten und/oder Programmen die 
Kennung korrekt ist und/oder ein Vermerk vorliegt. 

Vor Beginn eines Losch- bzw. Programmiervorganges , also in 
diesem Beispiel in Block 412, wird diese Kennung K 
verandert, insbesondere unkenntlich gemacht . Die erwartete 
Kennung K ist dabei vorteilhaf terweise Bestandteil des 
Programmes selbst. Wird in Block 401 kein Bootprogramm, 
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sondern beispielsweise ein Fahrprogramm ausgewahlt, also ein 
Anwendungsprogramm, so wird dies in den Abfragen 4 02, 4 03, 
404 und eventuell Folgenden erkannt . Im Falle des 
Fahrprogramms 1 gelangt man uber Abfrage 402 zu Block 405. 
Dort werden die bereits oben genannten Vorgange 
durchgef uhrt . In Abfrage 406 wird nun beispielsweise im Zuge 
der Dienste Bearbeitung im Anwendungsprogramm abgefragt, ob 
eine Programmiersitzung gestartet werden soil oder nicht. 
1st dies nicht der Fall, gelangt man zu Block 408, wo das 
gewahlte Programm, das sich bereits in einem Speicher, 
insbesondere dem nicht fluchtigen Speicher 104, befindet, 
abgearbeitet wird und an dessen Ende man wieder zu Block 
414, dem Ende des Vorgangs, gelangt. Wird jedoch in Abfrage 
4 06 der Wunsch nach einer Programmierung innerhalb des 
Anwendungsprogrammes, insbesondere des Fahrprogrammes 1, 
aufgedeckt, so gelangt man zu Block 407. Abhangig von 
bestimmten Bedingungen wird dann in Block 407 die Sitzung 
des Programmiermodus gestartet. Diese Bedingungen sind 
beispielsweise das nicht Inbetriebsein des Motors, 
beispielsweise in Verbindung mit einem Default-Mode, die 
Zustimmung, daS die Syntax in Ordnung ist, insbesondere bei 
einer verlangten Baudratenumschaltung, usw. Diese 
Bedingungen konnen ebenso in Block 411 abgefragt werden. Je 
nach Einhaltung der Bedingungen werden detailliert 
unterschiedliche Fehlermeldungen ausgegeben. Sind diese 
Bedingungen fur den Programmiermodus allerdings erfullt, 
werden unter anderem Quell- und Zieladresse in einen anderen 
Speicher bzw. Speicherbereich gerettet, sowie ein Software - 
Reset eingeleitet. An dieser Stelle kann auch ein Code 
gesetzt werden, welcher angibt, daS eine Programmierung des 
nicht fluchtigen Speichers, insbesondere des Flashspeichers 
104 durchgef uhrt werden soil. Schlagt nun der Software-Reset 
zu, wird nach dem Reset eine Initialisierung durchgefiihrt 
und der eingegebene Code fur die Flash- Programmierung 
uberpruf t . 1st dieser Code korrekt, wird dieser 



beispielsweise ebenfalls gezielt verandert , urn spater 
aufgrund dieser Aktion erheut identif iziert zu werden. Dies 
kann beispielsweise durch ein Verschieben des Codes um ein 
Bit nach rechts erfolgen. Aber auch andere MaSnahmen sind 
denkbar. Im AnschluS daran erfolgt der Funktionsauf ruf zum 
Aufsetzen der Kommunikation, was in Block 409 geschieht. In 
Block wird nun die Kommunikation bezuglich des 
Bootprogrammes aufgesetzt. Dazu darf diese nicht schon 
vorhanden sein und der gezielt verandert e Code mu£ erkannt 
werden. Daraufhin erfolgt in Block 409 eine Initialisierung 
wie* beim Kommunikationsstart im Bootprogramm bzw. Bootblock 
in Block 410. Ebenso erfolgt hierbei das Initialisieren der 
Schnittstelle mit einer normalen 

Kommunikationsubertragungsrate, dem Einstellen des Sendens 
des Aktivsetzens der Kommunikation, usw. Ebenfalls beim 
Aufsetzen der Kommunikation wird beispielsweise ein Flag fur 
die Baudratenumschaltung gesetzt, damit unmittelbar nach dem 
Senden der positiven Antwort im Kommunikationsverlauf die 
Ubertragungsrate bzw. Baudrate in Block 412 wieder 
umgeschaltet werden kann. Ebenso wird hier die Sitzung des 
Programmiermodus aktiv gesetzt. Nach der positiven Antwort 
im Zuge des Kommunikat ions auf set zens wird diese in einen 
Puffer geschrieben und der Sendevorgang angestofien. 
Daraufhin gelangt man zu Block 412 und mit der 
Baudratenumschaltung begirmt wieder der weitere Ablauf im 
Bootprogramm . 
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24.02.99 Sy/Shi 

ROBERT BOSCH GMBH, 70442 Stuttgart 



Anspriiche 

1. Verfahren zum Loschen und/oder Programmieren von Daten 
und/oder Programmen in einem Speicher (104) eines 
Rechners (100), insbesondere eines Steuergerates in einem 
Fahrzeug, wobei bei der Programmierung eine Kennung (K) , 
die das korrekte Loschen und/oder Programmieren (413) des 
Speichers (104) kenntlich macht in einen zu loschenden 
und/oder zu programmierenden Bereich (206) des Speichers 
(104) eingeschrieben wird, dadurch gekennzeichnet , daS 
die eingeschriebene Kennung (K) in dem Speicher (104) vor 
einem Loschen und/oder Programmieren der Daten und/oder 
Programme (413), insbesondere durch Loschen und/oder 
Programmieren, verandert wird (412) . 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, da& 
die Kennung (K) , die das korrekte Loschen und/oder 
Programmieren (413) des Speichers (104) kenntlich macht 
in einen spat zu loschenden und/oder zu programmierenden 
Bereich (206) , insbesondere einen als letztes zu 
loschenden und/oder zu programmierenden Bereich, des 
Speichers (104) eingeschrieben wird. 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daS 
die Kennung (K) als Daten und/oder Programmbestandteil 
(301) ausgebildet ist . 
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Verfahren zum Uberprogrammieren von Daten und/oder 
Programmeii in einem Speicher (104) eines Rechners (100) , 
insbesondere eines Steuergerates in einem Fahrzeug, 
dadurch gekennzeichnet , da£ bei der Uberprogrammierung 
eine Kennung (K) , die das korrekte Loschen und/oder 
Programmieren (413) des Speichers (104) kenntlich macht 
aus den Daten und/oder Programmen, die in einen zu 
loschenden und/oder zu programmierenden Bereich (206) des 
Speichers eingeschrieben wurden, ausgewahlt wird. 

Verfahren nach Anspruch 4, dadurch gekennzeichnet, daS 
die Kennung (K) , die das korrekte Loschen und/oder 
Programmieren (413) des Speichers (104) kenntlich macht 
aus den Daten und/oder Programmen ausgewahlt wird, die in 
einen spat zu loschenden und/oder zu programmierenden 
Bereich (206) , insbesondere einen als letztes zu 
loschenden und/oder zu programmierenden Bereich, des 
Speichers eingeschrieben wurden 

Verfahren nach Anspruch 4, dadurch gekennzeichnet, daS 
die ausgewahlt e Kennung (K) in dem Speicher (104) vor 
einem Loschen und/oder Programmieren der Daten und/oder 
Programme (413) , insbesondere durch Loschen und/oder 
Programmieren, verandert wird (412) . 

Verfahren nach Anspruch 4 , 5 oder 6 dadurch 
gekennzeichnet, da£ die Kennung (K) als wenigstens ein 
Abschnitt (301) vorgebbarer Lange der in den Speicher 
(104) eingeschriebenen Daten und/oder Programme 
ausgewahlt wird bzw. vorgebbar ist . 

Verfahren nach Anspruch 1 oder 4, dadurch gekennzeichnet, 
daS die Kennung (K) derart, insbesondere durch Loschen 
und/oder Programmieren, verandert wird, daS sie 
unkenntlich wird. 
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9. Verfahren nach Anspruch 1 oder 4, dadurch gekennzeichnet , 
daS die Kennung (K) als Abschnitt (301) einer 
Programmkennung (300) , die die jeweiligen Daten und/oder 
Programme kennzeichnet , ausgebildet ist. 

10. Verfahren nach Anspruch 1 oder 4, dadurch gekennzeichnet, 
da£ die Kennung (K) nach einer Unterbrechung des Loschens 
und/oder Programmierens und/oder nach dem Loschen 
und/oder Programmieren des Speichers (104) uberpriift wird 
(415) . 

11. Verfahren nach Anspruch 9, dadurch gekennzeichnet, daS 
die Unterbrechung des Loschens und/oder Programmierens 
des Speichers im Speicher durch einen Vermerk abgelegt 
wird (416) . 

12. Verfahren nach einem der vorhergehenden Anspruche , 
dadurch gekennzeichnet, daS vor dem Loschen und/oder 
Programmieren die Kennung und/oder der Vermerk uberpruft 
und ausgewertet werden. 

13 . Vorrichtung zum Loschen und/oder Programmieren von Daten 
und/oder Programmen in einem Speicher (104) eines 
Rechners (100) , insbesondere eines Steuergerates in einem 
Fahrzeug, mit einem Mittel zur Programmierung (101, 106) 
das eine Kennung (K) , die das korrekte Loschen und/oder 
Programmieren (413) des Speichers (104) kenntlich macht 
in einen zu loschenden und/oder zu programmierenden 
Bereich (206) des Speichers (104) einschreibt, dadurch 
gekennzeichnet, daS die Mittel zur Programmierung (101, 
106) die eingeschriebene Kennung (K) in dem Speicher 
(104) vor einem Loschen und/oder Programmieren der Daten 
und/oder Programme (413) , insbesondere durch Loschen 
und/oder Programmieren, verandern (412) . 
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14 . Vorrichtung mit einem Mittel zum Uberprogrammieren (101, 
106) von Daten und/oder Programmen in einem Speicher 
(104) eines Rechners (100) , insbesondere eines 
Steuergerates in einem Fahrzeug, dadurch gekennzeichnet, 
daS die Mittel zur Uberprogrammierung (101, 106) eine 
Kennung (K) , die das korrekte Loschen und/oder 
Programmieren (413) des Speichers (104) kenntlich macht 
aus den Daten und/oder Programmen, die in einen zu 
loschenden und/oder zu programmierenden Bereich (2 06) des 
Speichers eingeschrieben wurden, auswahlen. 
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24.02.99 Sy/Shi 

ROBERT BOSCH GMBH, 7 0442 Stuttgart 



Verfahren und Vorrichtung zur Absicherung bei Veranderung 
des Speicherinhalts von Steuergeraten 

Zusammenf as sung 

Es werden Verfahren zur Absicherung des Loschens und/oder 
Programmierens bzw . Uberprogrammierens von Daten und/oder 
Programmen in einem Speicher 104 eines Rechners, 
insbesondere eines Steuergerates in einem Fahrzeug gezeigt. 
Bei der Programmierung wird entweder eine Kennung , die das 
korrekte Loschen und/oder Programmieren des Speichers 104 
kenntlich macht in einen zu loschenden und/oder zu 
programmierenden Bereich 206 des Speichers 104 
eingeschrieben oder aus den bereits eingeschriebenen Daten 
und/oder Programmen, insbesondere der Programmkennung 3 00 in 
Form eines Abschnitts 301 daraus ausgewahlt . Im Weiteren 
wird die Kennung in dem Speicher 104 vor einem Loschen 
und/oder Programmieren der Daten und/oder Programme, 
insbesondere durch Loschen und/oder Programmieren, 
verandert, so daS im Falle einer Unterbrechung des 
Programmiervorganges und somit einer fehlerhaften 
Programmierung der jeweilige Speicherinhalt nicht verwendet 
wird. 



(Figur 3) 
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